学步园

1、去掉TCP/IP常规中的网络组件。

只留下QoS数据包计划程序和Tnternet协议（TCP/IP）就可以了。这样2003的默认共享和共享文件夹的功能都没有了。

2、禁用TCP/IP上的NetBIOS。启用windows防火墙。

       本地连接－TCP/IP属性－高级－WINS（禁用后无法用计算机名找到计算机，也就是说你在网上邻居里面是看不到这台电脑的。）

3、更改TTL值。让其不能通过TTL值判断服务器系统。

修改注册表：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如147

4、关掉不必要的服务。

Task Scheduler 允许程序在指定时间运行。

Computer Browser 维护网络上计算机的最新列表以及提供这个列表。（与计算机列表有关，如果禁用在网上邻居中将显示不了其它的计算机。）

Microsoft Serch 提供快速的单词搜索，不需要可禁用。

Remote Desktop Help Session Manager 禁止远程协助。

Workstation 关闭的话远程NET命令列不出用户组

Messenger 传输客户端和服务器之间的NET SEND和警报器服务消息。

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Removable storage 管理可移动媒体、驱动程序和库

Remote Registry Service 允许远程注册表操作

Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

Telnet 允许远程用户登录到此计算机并运行程序

5、账号安全设置。

停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装

打开本地安全设置。

（1）设置账号锁定阀值为3次无效登录，锁定时间为30分钟；

（2）从通过网络访问此计算机中删除Everyone组，Power Users组和Backup Operators组；（本地安全设置－本地策略－用户权限分配）

（3）为交互登录启动消息文本。（本地安全设置－本地策略－安全选项）

（4）启用不允许匿名访问SAM帐号和共享；（本地安全设置－本地策略－安全选项）

（5）启用不允许为网络验证存储凭据或Passport；（本地安全设置－本地策略－安全选项）

（6）启用在下一次密码变更时不存储LANMAN哈希值；（本地安全设置－本地策略－安全选项）

（7）启用清除虚拟内存页面文件；（本地安全设置－本地策略－安全选项）

（8）禁止IIS匿名用户在本地登录；

（9）启用交互登录：不显示上次的用户名；

（10）       从文件共享中删除允许匿名登录的DFS$和COMCFG；

6、 启用 SYN 攻击保护。

启用 SYN 攻击保护的命名值位于此注册表项的下面：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services的SynAttackProtect值设为2即可。

7、 设置 SYN 保护阈值

设置SYN 攻击保护的命名值位于此注册表项的下面：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services的TcpMaxPortsExhausted值设为5。有效值为：0－65535 TcpMaxHalfOpen值设为500有效值：100－65535 TcpMaxHalfOpenRetried值设为400 有效值：80 – 65535

1）C盘只给administrator和system完全控权限。其它的盘也可以这样设置。

（2）Windows文件夹要给users组默认权限。否则ASP，ASPX等程序无法运行。

（3）c:/Documents and Settings/这里相当重要后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会 出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限。一定要将这个目录设置好。只给administrator和system完全控制权限就可以了。

（4）net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;

format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;

edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;

runonce.exe;syskey.exe修改权限，删除所有的用户只保存Administrators为所有权限